Autor Tema: Luzia Captura Imágenes (Leído 1914 veces)

RadicalEd · « **en:** Sábado 30 de Septiembre de 2006, 00:34 »

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:29-09-2006
Última Actualización:29-09-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: SpyWare.W32/Luzia
Tipo: [SpyWare] - Programa que se instala sin consentimiento del usuario para recoger información de este y del sistema.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño comprimido (bytes): 167936
Alias:Win32/Spy.Luzia.NAA (ESET (NOD32)), Trojan.Spy.Luzia.H (AVIRA), Logger.Luzia.ad (Otros), PSW.Generic2.IPF (Otros), TR/Spy.Luzia.AD.3 (Otros), Trojan.Spy.Win32.Luzia.4D80 (Otros), Trojan.KeyLogger.610 (Otros), Trojan/Spy.Luzia.ad (Otros), Spy.Luzia.NAA (Otros), Trj/Luzia.X (Otros), Troj/Certif-R (Otros)
Detalles

Cuando se ejecuta, crea el siguiente archivo:

* c:\windows\system32\systray.com

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea la carpeta "systray", dentro de la carpeta SYSTEM:

* c:\windows\system\systray

Son creadas las siguientes entradas en el registro, la segunda de ellas para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
pname = "systray.com"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
systray.com = "C:\WINDOWS\system32\systray.com"

En la carpeta "SYSTRAY", el troyano almacenará las capturas en ficheros cuyos nombres representan la fecha y hora del momento de la captura. Por ejemplo:

* 26092006-203849 (2,012 bytes)
* 26092006-204010-105.jpg (8,150 bytes)
* 26092006-204017-542.jpg (7,719 bytes)
* 26092006-204018-433.jpg (8,216 bytes)
* ...

El primer archivo (sin extensión) contiene lo capturado desde el teclado, en el siguiente formato:

-----[ Nuevo Banco Comercial - Microsoft Internet Explorer ]----- [TECLA DECIMAL][NUMERO 1][RETROCESO][RETROCESO][RETROCESO] [RETROCESO][RETROCESO][RETROCESO][RETROCESO][RETROCESO] [RETROCESO][RETROCESO][RETROCESO][RETROCESO][RETROCESO] [RETROCESO][RETROCESO][RETROCESO][RETROCESO][RETROCESO] [RETROCESO][RETROCESO][RETROCESO] [RETROCESO][RETROCESO][RETROCESO][RETROCESO][ENTRAR] [NUMERO 1][NUMERO 2][NUMERO 3][NUMERO 4][NUMERO 5][NUMERO 1][NUMERO 2][NUMERO 3]

Note que el título de la captura, representa la página bancaria que se ingresó (el título de la ventana del navegador), y las teclas pulsadas son representadas después (incluidos cursores, etc.).

Las imágenes .JPG contienen capturas realizadas cuando se hace clic en el ratón. Una cruz indica el punto en que se hace clic. Eso permite registrar los números de un teclado virtual, método que hasta hace poco era considerado seguro a la hora de ingresar datos sensibles a un sitio (como contraseña, PIN, etc.).

Toda la información capturada, es enviada a un servidor FTP remoto ubicado en Brasil.

También intenta enviar todos los archivos con las siguientes extensiones, que encuentre en el disco del equipo infectado:

* .CRT (Certificados de seguridad)
* .KEY (Encriptación y seguridad)
* .WAB (Libreta de direcciones)

Algunos de los bancos que este troyano intenta atacar:

* ABN AMRO Argentina (Argentina)
* Abogacía del Tesoro (Paraguay)
* Banca March (España)
* Banca Nazionale del Lavoro (Argentina)
* Bancaja (España)
* Banco Amambay (Paraguay)
* Banco Banesco (Venezuela)
* Banco BISA (Bolivia)
* Banco Central de Bolivia (Bolivia)
* Banco Cetelem (España)
* Banco Ciudad de Buenos Aires (Argentina)
* Banco Comafi (Argentina)
* Banco Continental SAECA (Paraguay)
* Banco Credicoop Coop. Ltdo. (Argentina)
* Banco de Cabo Verde (Cabo Verde)
* Banco de Crédito de Bolivia (Bolivia)
* Banco de La Pampa (Argentina)
* Banco de la Provincia de Buenos Aires (Argentina)
* Banco de Portugal (Portugal)
* Banco de Valencia (España)
* Banco del Chubut (Argentina)
* Banco do Brasil (Brasil)
* Banco do Estado de Santa Catarina (Brasil)
* Banco Espirito Santo (España)
* Banco Finantia (Portugal)
* Banco Finantia Sofinloc (España)
* Banco Gallego (España)
* Banco Ganadero (Bolivia)
* Banco Guipuzcoano (España)
* Banco Hipotecario (Argentina)
* Banco Invest (Portugal)
* Banco Itaú del Buen Ayre (Argentina)
* Banco Macro Bansud (Argentina)
* Banco Mercantil (Venezuela)
* Banco Patagonia (Argentina)
* Banco Popular (España)
* Banco Regional (Paraguay)
* Banco RIO (Argentina)
* Banco Rural (Brasil)
* Banco Santa Cruz (Bolivia)
* Banco Solidario (Bolivia)
* Banco Sudameris (Paraguay)
* Banco Surinvest (Uruguay)
* Banco Urquijo (España)
* Banesto (España)
* Banif - Banco Internacional do Funchal (Portugal)
* Bank of America (Estados Unidos)
* BankBoston (Argentina)
* BankBoston (Uruguay)
* Bankoa (España)
* Banparanet (Brasil)
* Banrisul (Brasil)
* Bansacar (España)
* Barclays (España)
* Barclays Bank (Portugal)
* Bbk (España)
* BBVA (España)
* BBVA (Paraguay)
* BBVA (Uruguay)
* BBVA Portugal (Portugal)
* Caixa Econômica Federal (Brasil)
* Caixa Girona (España)
* Caixa Laietana (España)
* Caja Castilla La Mancha (España)
* Caja de Extremadura (España)
* Caja Granada (España)
* Caja Murcia (España)
* Citibank (Estados Unidos)
* CitiBank (Uruguay)
* CitiBank Brasil (Brasil)
* CitiBank Portugal (Portugal)
* e-tim (Brasil)
* Fibanc (España)
* Interbanco (Paraguay)
* Millennium bcp (Portugal)
* Nuevo Banco Comercial (Uruguay)
* Santander Banespa (Brasil)
* Santander Central Hispano (España)

SoloCodigo

Autor Tema: Luzia Captura Imágenes (Leído 1914 veces)

RadicalEd

Luzia Captura Imágenes